Professional Documents
Culture Documents
Un Plan de seguridad es un conjunto de decisiones que definen cursos de accin futuros, as como los medios que se van a utilizar para conseguirlos. Un Procedimiento de seguridad es la definicin detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Polticas de Seguridad que han sido aprobadas por la organizacin.
En este sentido, las Polticas definen "qu" se debe proteger en el sistema, mientras que los Procedimientos de
Seguridad describen "cmo" se debe conseguir dicha proteccin. En definitiva, si comparamos las Polticas de Seguridad con las Leyes en un Estado de Derecho, los Procedimientos seran el equivalente a los Reglamentos aprobados para desarrollar y poder aplicar las Leyes.
Las Polticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros, sino que deberan estar adaptadas a las necesidades reales de cada organizacin.
Personas implicadas en las Polticas de seguridad: Directivos y responsables de los distintos departamentos y reas funcionales de la organizacin. Personal del Departamento de Informtica y Comunicaciones Miembros del Equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT, Computer Security Incident Response Team), en caso de que ste exista. Representantes de los usuarios que pueden verse afectados por las medidas adoptadas. Consultores externos expertos en seguridad informtica.
Documentos Ttulo y codificacin. Fecha de publicacin. Fecha de entrada en vigor. Fecha prevista de revisin o renovacin. Ambito de aplicacin ( a toda la organizacin o slo a un determinado departamento o unidad de negocio). Descripcin detallada de los objetivos de seguridad Persona responsable de la revisin y aprobacin Documento (o documentos) al que reemplaza o modifica Otros documentos relacionados. En los procedimientos ser necesario especificar adems: Descripcin detallada de las actividades que se deben ejecutar Personas o departamentos responsables de su ejecucin
Momento y/o lugar en que deben realizarse Controles para verificar su correcta ejecucin
El inventario de los distintos recursos facilitar el posterior anlisis de las vulnerabilidades del sistema informtico, identificando los posibles objetivos de los ataques o intentos de intrusin. Distinguir entre los servicios ofrecidos para los usuarios internos y aquellos que sean para usuarios externos. Los responsables de la organizacin deberan definir las condiciones de uso aceptable para cada uno de estos servicios, as como qu reas o departamentos se van a encargar de ofrecer los distintos servicios y qu personas sern las responsables de administrar y supervisar cada uno de estos servicios.
Pruebas de intrusin, en las que no slo se detectan las vulnerabilidades, sino que se trata de explotar las que se hayan identificado para tratar de comprometer el sistema afectado. Otras pruebas de seguridad que contemplan aspectos humanos y organizacionales, recurriendo a tcnicas como la "Ingeniera Social" para tratar de descubrir informacin sensible o determinados detalles sobre la configuracin y el funcionamiento del sistema. El anlisis y evaluacin de riesgos, en el que se pretende determinar cul es el nivel de riesgo asumido por la organizacin a partir del anlsis de posibles amenazas y vulnerabilidades. Por otra parte, tambin conviene estudiar la respuesta de la organizacin ante ataques simulados y determinados tipos de incidentes de seguridad, de forma que se pueda comprobar la adecuada ejecucin de las tareas y la disponibilidad de recursos previstos en los planes de contingencia. En los trabajos de auditora se deber revisar el nivel de cumplimiento de los requisitos legales.
Otros aspectos:
Privacidad de los usuarios Complementar con manuales de polticas y procedimientos Sensibilizacin de los usuarios Posibles violaciones y sanciones
Cuidar todo lo relacionado con dispositivos de red, como los hubs, switches, routers o puntos de acceso inalmbricos, impidiendo accesos no autorizados. Se pueden recurrir a medidas extremas como tubos con aire a presin o reflexmetros
Registro de restauraciones
* Contemplarlos en el presupuesto
En el caso de papel o inclusive discos enteros utilizar mquinas destructoras (ej. http://www.semshred.com/)